网络安全等级保护测评机构管理办法【最新版】

网络安全等级保护测评机构管理办法第一章总则

第一条为加强网络安全等级保护测评机构(以下简称“测评机构”)管理，规范测评行为，提高等级测评能力和服务水平，根据《中华人民共和国网络安全法》和网络安全等级保护制度要求，制定本办法。

第二条等级测评工作，是指测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对已定级备案的非涉及国家秘密的网络(含信息系统、数据资源等)的安全保护状况进行检测评估的活动。

测评机构，是指依据国家网络安全等级保护制度规定，符合本办法规定的基本条件，经省级以上网络安全等级保护工作领导(协调)小组办公室(以下简称“等保办”)审核推荐，从事等级测评工作的机构。

第三条测评机构实行推荐目录管理。测评机构由省级以上等保办根据本办法规定，按照统筹规划、合理布局的原则，择优推荐。

第四条测评机构联合成立测评联盟。测评联盟按照章程和有关

测评规范，加强行业自律，提高测评技术能力和服务质量。测评联盟在国家等保办指导下开展工作。

第五条测评机构应按照国家有关网络安全法律法规规定和标准规范要求，为用户提供科学、安全、客观、公正的等级测评服务。

第二章测评机构申请

第六条申请成为测评机构的单位(以下简称“申请单位”)需向省级以上等保办提出申请。

国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请，对申请单位进行审核、推荐;监督管理全国测评机构。

省级等保办负责受理本省(区、直辖市)申请单位的申请，对申请单位进行审核、推荐;监督管理其推荐的测评机构。

第七条申请单位应具备以下基本条件:

(一)在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位;

(二)产权关系明晰，注册资金500 万元以上，独立经营核算，无违法违规记录;

(三)从事网络安全服务两年以上，具备一定的网络安全检测评估能力;

(四)法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民，且无犯罪记录;

(五)具有网络安全相关工作经历的技术和管理人员不少于15 人，专职渗透测试人员不少于2 人，岗位职责清晰，且人员相对稳定;

(六)具有固定的办公场所，配备满足测评业务需要的检测评估工具、实验环境等;

(七)具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度;

(八)不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务(自用除外);

(九)应具备的其他条件。

第八条申请时，申请单位应向等保办提交以下材料:

(一)网络安全等级保护测评机构推荐申请表;

(二)近两年从事网络安全服务情况以及网络安全服务项目完整文档和相关用户证明;

(三)检测评估工作所需实验环境及测评工具、设备设施情况;

(四)有关管理制度情况;

(五)申请单位及其测评人员基本情况;

(六)应提交的其他材料。

第九条等保办收到申请材料后，应在10个工作日内组织初审。对符合本办法第七条规定的申请单位，应委托测评联盟对其开展测评能力评估。

测评联盟组织专家，根据标准规范对申请单位开展能力评估，出

具测评能力评估报告，并及时将能力评估情况反馈等保办。

能力评估不达标的，等保办应告知申请单位初审未通过。

第十条初审通过的申请单位，应组织本单位人员参加测评师培训。考试合格的，取得测评师证书。

测评师分为初级、中级和高级。申请单位应至少有15人获得测评师证书，其中高级测评师不少于1人，中级测评师不少于5人。

第十一条等保办组织专家对人员培训符合要求的申请单位进行复核。复核通过的，颁发《网络安全等级保护测评机构推荐证书》。

第十二条测评机构实行目录管理，国家等保办编制《全国网络安全等级保护测评机构推荐目录》，并在中国网络安全等级保护网网站发布并及时更新。

省级等保办应及时将本地测评机构推荐情况报国家等保办。

第十三条省级等保办每年年底根据测评工作需求制定下一年度测评机构推荐计划，并报国家等保办审定。

省级以上等保办受理测评机构申请的时间为每年三月份。

第十四条测评联盟应组织专家对新推荐测评机构的首个测评项目实施情况进行跟踪评议，并将结果及时报等保办。等保办组织进行综合审查。

第三章测评机构和测评人员管理

第十五条测评机构应与被测评单位签署测评服务协议，依据有关标准规范开展测评业务，防范测评风险，客观准确地反映被测评对象的安全保护状况。

测评机构应按照统一模板出具网络安全等级测评报告，并针对被测评网络分别出具等级测评报告。

对第三级以上网络提供等级测评服务的，测评师人数不得少于4名，其中高级测评师、中级测评师应各不少于1名。

第十六条测评机构应当指定专人管理测评专用章，制定管理规范，不得滥用。

出具等级测评报告时，测评机构应加盖等级测评专用章。未加盖

专用章的报告，视为无效。

第十七条测评师上岗前，测评机构应组织岗前培训;培训合格的，由测评机构配发上岗证，上岗证发放情况应于发放后5个工作日报等保办。测评机构应当对测评师开展等级测评业务情况进行考核，并留存相关记录。

未取得测评师证书和上岗证的，不得参与等级测评项目。测评师一年内未参与测评活动的，测评联盟应注销其证书。

测评师实行年度注册管理。年审时，测评机构应将本机构测评师情况报等保办注册。测评机构不得采取挂靠或者聘用兼职测评师开展测评业务。

第十八条测评机构应采取管理和技术措施保护测评活动中相关数据和信息的安全，不得泄露在测评服务中知悉的商业秘密、重要敏感信息和个人信息;未经等保办同意，不得擅自发布、披露在测评服务中收集掌握的网络信息、系统漏洞、恶意代码、网络攻击等信息。

第十九条测评机构提供测评服务不受地域、行业、领域的限制。测评项目采取登记管理。测评机构在实施测评项目之前，须将测评项目信息及时、准确地填报到网络安全等级保护测评项目登记管理系统

(以下简称“项目管理系统”)。

测评机构应于测评项目合同签订后或测评活动实施前 5 个工作日内，通过项目管理系统填报测评项目基本情况，不得于测评项目完成后进行补录。由于项目实施变更导致已登记信息与实际情况不符的，应及时修改并说明理由。

第二十条省级以上等保办对测评机构填报的信息应在5个工作日内进行审核确认。逾期未审核确认的，项目管理系统默认审核通过。测评项目填报登记和审核确认的具体要求，参见《项目管理系统填报指南》。

第二十一条省级以上等保办在审核确认测评项目登记信息时，发现测评机构具有下列情形之一的，应不予审核通过。

(一)处于暂停测评业务期间;

(二)因违规被通报后，未反馈整改情况的;

(三)其他不符合本办法规定情形的。

第二十二条属于异地测评项目的，测评机构应从项目管理系统

中生成测评项目基本情况表，并于测评项目实施前报送或传至被测评网络备案公安机关。

第二十三条测评机构名称、地址、测评人员、主要负责人和联系人发生变更的，测评机构应在变更后5个工作日内向等保办报告，并提交变更材料。

测评机构法人、股权结构发生变更或其他重大事项发生变更的，等保办应组织重新进行推荐审查并出具审查意见。测评机构不得假借变更名义转让推荐证书。

第二十四条测评机构应加强对测评人员的监督管理，定期组织开展安全保密教育和测评业务培训，签订安全保密责任书，规定其应当履行的安全保密义务和承担的法律责任，并负责检查落实。

第二十五条测评机构应组织测评师参加多种形式的测评业务和技术培训，测评师每年培训时长累计不少于40学时。培训时长不足的，不予年度注册。

测评联盟确定测评业务和技术培训科目，发布年度测评培训纲要。

第二十六条测评师离职前，测评机构应与其签订离职保密承诺书，收回上岗证并及时向等保办报备。

自离职之日起超过6个月再入职测评机构的测评师，应通过测评师考试后从事测评活动;自离职之日起一年内未入职测评机构从事测评活动的，测评联盟应注销其测评师证书。

第二十七条测评机构应监督测评师妥善保管测评师证书、上岗证，不得涂改、出借、出租和转让。

第二十八条测评机构应当建立网络安全应急处置机制和纠纷处理机制，防范测评风险，妥善处理纠纷。

第二十九条测评项目完成后，测评机构应请被测评单位对测评服务情况进行评价，评价情况表由被测单位密封后反馈测评机构，留存备查。

第三十条测评机构应每季度向等保办报送测评业务开展情况和测评数据。根据测评实践，测评机构每年底编制并向等保办报送网络安全状况分析报告。

测评机构在测评活动中，发现重大网络安全事件、重大网络安全

风险隐患、高危漏洞和重大网络安全威胁时，应及时报告公安机关。

第三十一条国家等保办每年第四季度组织开展测评机构能力验证活动，并将能力验证结果通报各省级等保办。

未参加能力验证的测评机构，视为能力验证未通过。

第三十二条等保办应于每年12月份对所推荐测评机构进行年审。

年审通过的，等保办在推荐证书副本上加盖等级保护专用章或等保办印章，发放测评师注册标识。

年审时，测评机构应当提交以下材料:

(一)网络安全等级保护测评机构年审表;

(二)网络安全等级保护测评机构推荐证书副本;

(三)年度测评工作总结;

(四)测评师年度注册表;

(五)其他所需材料。

第三十三条测评机构有下列情形之一的，年审不予通过。

(一)未及时、准确地填报测评项目信息;

(二)测评师培训时长不足;

(三)未定期报送测评业务开展情况和测评数据;

(四)能力验证未通过且整改方案落实不到位;

(五)其他有关情形。

年审未通过的，等保办责令测评机构限期整改。拒不整改或整改不符合要求的，应暂停测评机构开展等级测评业务。

第三十四条测评机构推荐证书有效期为三年。测评机构应在推荐证书期满前30日内，向等保办申请期满复审。

等保办应于收到期满复审申请后5个工作日内，组织开展复审工

作。复审通过的测评机构，由等保办换发新证。省级等保办应及时将测评机构期满复审情况报国家等保办汇总。

期满复审时，测评机构应提交以下材料:

(一)测评机构期满复审申请表;

(二)年审情况;

(三)其他需要提供的有关材料。

第三十五条测评机构有下列情形之一的，期满复审不予通过。

(一)累计两年年审未通过或三年能力验证未通过的;

(二)基本条件不符合的;

(三)违反本办法有关规定且情形特别严重的;

(四)逾期30日未提交期满复审申请的。

期满复审未通过的，等保办应公告宣布取消其推荐证书。

第四章监督管理

第三十六条省级以上等保办对测评机构和测评业务开展情况进行监督、检查、指导。

国家等保办每年组织对测评机构及测评活动开展监督抽查。

测评项目实施过程中，测评机构应接受被测网络备案公安机关的监督、检查和指导。

第三十七条等保办开展监督检查时，重点检查以下内容:

(一)测评机构基本条件符合情况;

(二)测评机构管理制度执行情况;

(三)测评机构相关事项变更报告、审查情况;

(四)测评师管理、行为规范情况;

(五)测评项目实施情况;

(六)测评服务评价情况;

(七)测评报告及相关数据文档管理情况;

(八)其他需监督检查的事项。

第三十八条等保办、被测网络备案公安机关在监督检查时，发现异地测评机构有违反本办法规定情形的，应书面通报该机构推荐等保办。

等保办在收到通报后，应及时组织进行核查处置并反馈，同时将有关情况报国家等保办。

第三十九条等保办应及时将测评数据、测评机构及其测评师情况、年审和期满复审情况、监督检查情况等相关数据录入数据库。

第四十条国家等保办每年对全国测评机构开展年度评定活动，评定结果及时发布。

第四十一条任何组织和个人有权向省级以上等保办、测评联盟投诉举报测评机构和测评人员违法违规行为。

第四十二条测评机构违反本办法第十五、十六、十七、十八、十九、二十二、二十三、二十四、二十五、二十六、二十七、二十八、二十九、三十条规定，等保办应责令其限期整改;拒不整改或情形严重的，约谈测评机构法人和主要负责人;屡次违反上述规定或情形特别严重的，责令其暂停测评业务，并予通报。

第四十三条测评机构有下列情形之一的，等保办责令其限期整改;情形严重的，责令整改期间暂停测评业务，并予通报。

(一)未按照有关标准规范开展测评，或未按规定出具测评报告的;

(二)分包、转包、代理测评项目，或恶意竞争，扰乱测评工作正常开展的;

(三)擅自简化测评工作环节，或未按测评流程要求开展测评工作的;

(四)监督检查或抽查中发现问题突出的;

(五)影响被测评网络正常运行，或因测评不到位，未发现网络中存在相关漏洞隐患，导致被测评网络发生重大网络安全事件的;

(六)非授权占有、使用，以及未妥善保管等级测评相关资料及数据文件的;

(七)限定被测评单位购买、使用指定网络安全产品，或与产品和服务商存在利益勾结行为的;

(八)非本机构测评师或测评人员未取得等级测评师证书和上岗证从事等级测评活动的;

(九)未通过测评项目管理系统及时填报项目登记信息或未通过审核开展等级测评项目的;

(十)未按本办法规定向等保办提交材料或弄虚作假的;

(十一)其他违反本办法有关规定行为的。

第四十四条测评机构有下列情形之一的，等保办应取消其推荐证书，并向社会公告，三年内不得再次申请。

(一)运营管理不规范，屡次被责令整改，严重影响测评服务质量的;

(二)因单位股权、人员等情况发生变动，不符合测评机构基本条件的;

(三)有网络安全产品开发、销售或系统安全集成等影响测评结果公正性行为;与产品提供商、服务商或被测评方存在利益勾结，扰乱测评业务正常开展的;

(四)泄露被测评单位工作秘密、重要数据信息的;

(五)隐瞒测评过程中发现的重大安全问题，或者在测评过程中弄虚作假未如实出具等级测评报告的;

(六)一年内未开展测评业务(被暂停开展测评业务的情况除外)或自愿放弃测评机构推荐资格的;

(七)连续两年年审未通过或未通过期满复审的;

(八)测评实施期间，导致被测评网络发生宕机等严重网络安全事件的;

(九)有第四十二条、第四十三条情形，造成特别严重后果或影响

特别恶劣的;

(十)其他违反法律法规或严重违反本办法规定情形的。

第四十五条测评师有下列行为之一的，等保办责令测评机构督促其限期改正;情节严重的，责令测评机构暂停其参与测评业务;情形特别严重的，应注销其测评师证书，责令其所在测评机构进行限期整改。

(一)未经允许擅自使用、泄露或出售等级测评活动中收集的数据信息、资料或测评报告的;

(二)违反本办法规定，有涂改、出借、出租和转让测评师证书、上岗证等行为的;

(三)测评行为失误或不当，严重影响网络安全或造成被测评单位利益重大损失的;

(四)其他违反本办法有关规定行为的。

第四十六条测评机构及其测评师违反本办法的相关规定，给网络运营者造成严重危害和损失，构成违法犯罪的，由相关部门依照有

关法律、法规予以处理。

第四十七条公安机关有关工作人员在工作中不得利用职权索取、收受贿赂;不得滥用职权、干预测评机构及测评业务正常开展，以及法律法规禁止的其他行为。

第四十八条本办法自发布之日起实施。本办法由国家等保办负责解释。

第四十九条自本办法实施之日起，《信息安全等级保护测评机构管理办法》、《信息安全等级保护测评机构异地备案实施细则》、各地自行制定的与本办法规定不符的规范性文件一律作废。

第五十条本办法所称“以上”含本数。

信息安全技术 网络安全等级保护测评要求 第1部分：安全通用要求-编制说明

信息安全技术网络安全等级保护测评要求 第1部分：安全通用要求 编制说明 1 概述 1.1 任务来源 《信息安全技术信息系统安全等级保护测评要求》于2012年成为国家标准，标准号为GB/T 28448-2012，被广泛应用于各个行业的开展等级保护对象安全等级保护的检测评估工作。但是随着信息技术的发展，尤其云计算、移动互联网、物联网和大数据等新技术的发展，该标准在时效性、易用性、可操作性上还需进一步提高，2013年公安部第三研究所联合中国电子技术标准化研究院和北京神州绿盟科技有限公司向安标委申请对GB/T 28448-2012进行修订。 根据全国信息安全标准化技术委员会2013年下达的国家标准制修订计划，国家标准《信息安全技术信息系统安全等级保护测评要求》修订任务由公安部第三研究所负责主办，项目编号为2013bzxd-WG5-006。 1.2 制定本标准的目的和意义 《信息安全等级保护管理办法》（公通字[2007]43号）明确指出信息系统运营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导，而且等级测评的技术测评报告是其检查内容之一。这就要求等级测评过程规范、测评结论准确、公正及可重现。 《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）（简称《基本要求》）和《信息安全技术信息系统安全等级保护测评要求》

（GB/T28448-2012）（简称《测评要求》）等标准对近几年来全国信息安全等级保护工作的推动起到了重要的作用。 伴随着IT技术的发展，《基本要求》中的一些内容需要结合我国信息安全等级保护工作的特点，结合信息技术发展尤其是信息安全技术发展的特点，比如无线网络的大量使用，数据大集中、云计算等应用方式的普及等，需要针对各等级系统应当对抗的安全威胁和应具有的恢复能力，提出新的各等级的安全保护目标。 作为《基本要求》的姊妹标准，《测评要求》需要同步修订，依据《基本要求》的更新内容对应修订相关的单元测评章节。 此外，《测评要求》还需要吸收近年来的测评实践，更新整体测评方法和测评结论形成方法。 1.3 与其他标准的关系 图1 等级保护标准相互关系 从上图可以看出，在等级保护对象实施安全保护过程中，首先利用《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008）（简称“《定级指南》”）确定等级保护对象的安全保护等级，然后根据《信息安全技术网络安全等级保护基本要求》系列标准选择安全控制措施，随后利用《信息安全技术信息系统安全等级保护实施指南》（简称“《实施指南》”）或其他相关标准确定其特殊安全需求，进行等级保护对象的安全规划和建设工作，此后利用《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-20XX）（简称“《测评过程指南》”）来规范测评过程和各项活动，利用《信息安全技术网络安全等级保护测评要求》系列标准来判断安全控制措施的有效性。同时，等级保护整个实施过程又是由《实施指南》来指导的。 在等级保护的相关标准中，《测评要求》系列标准是《基本要求》系列标准的姊妹篇，《测评要求》针对《基本要求》中各要求项，提供了具体测评方法、步

信息安全等级保护测评体系建设与测评工作规范性文件.

信息安全等级保护测评体系建设与测评工作规范性文件 信息安全等级测评机构 能力要求使用说明 （试行） 200×-××-××发布200×-××-××实施公安部信息安全等级保护评估中心

信息安全等级测评机构能力要求使用说明 目录 1范围 (3) 2名词解释 (3) 3基本条件 (3) 4组织管理能力 (4) 5测评实施能力 (6) 6设施和设备安全与保障能力 (12) 7质量管理能力 (14) 8规范性保证能力 (15) 9风险控制能力 (20) 10可持续性发展能力 (20) 11测评机构能力约束性要求 (21)

信息安全等级测评机构能力要求使用说明 前言 公安部颁布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号），决定加快等级保护测评体系建设工作。信息安全等级测评机构的建设是测评体系建设的重要内容，为确保有效指导测评机构的能力建设，规范其测评活动，满足信息安全等级保护工作要求，特制定本规范。 《信息安全等级测评机构能力要求》（以下简称《能力要求》）是等级保护测评体系建设指导性文件之一。本规范吸取国际、国内测评与检查机构能力评定的相关内容，结合信息安全等级测评工作的特点，对测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力、风险控制能力、可持续性发展能力等提出基本能力要求，为规范等级测评机构的建设和管理，及其能力评估工作的开展提供依据。

信息安全等级测评机构能力要求使用说明 信息安全等级测评机构能力要求使用说明 1范围 本规范规定了测评机构的能力要求。 本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。 2名词解释 2.1等级测评 等级测评是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 2.2等级测评机构 等级测评机构，是指具备测评机构基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室推荐，从事等级测评工作的机构。 3基本条件 依据《信息安全等级保护测评工作管理规范》（试行），信息安全等级测评机构（以下简称测评机构）应当具备以下基本条件： a)在中华人民共和国境内注册成立（港澳台地区除外）； b)由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；（具 体要求参见8.2.1） c)产权关系明晰，注册资金100万元以上；（具体要求参见8.2.2） d)从事信息系统检测评估相关工作两年以上，无违法记录；（具体要求参见5.2.1） e)工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；（具体要求参见 8.2.1） f)具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人； g)具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等 级保护管理办法》对信息安全产品的要求；（具体要求参见6.1） h)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度； （具体要求参见4.5） i)对国家安全、社会秩序、公共利益不构成威胁;

信息安全等级保护制度

第一条 为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。 第二条 国家通过制定统一的信息安全等级保护管理规范和技术 标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。 第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。 第四条

信息系统主管部门应当依照本办法及相关标准规范，督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。 第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范，履行信息安全等级保护的义务和责任。 第二章等级划分与保护 第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。 信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 第七条 信息系统的安全保护等级分为以下五级： 第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。 第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。 第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。 第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

等级保护测评试题

一、单选题 1、下列不属于网络安全测试范畴的是（C） A．结构安全 B.便捷完整性检查 C.剩余信息保护 D.网络设备防护 2、下列关于安全审计的内容说法中错误的是（D） A．应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录 B．审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 C．应能够根据记录数据进行分析，并生成审计报表 D．为了节约存储空间，审计记录可以随意删除、修改或覆盖 3、在思科路由器中，为实现超时10分钟后自动断开连接，实现的命令应为下列哪一个（A） A．exec-timeout 10 0 B. exec-timeout 0 10 C. idle-timeout 10 0 D. idle-timeout 0 10 4、用于发现攻击目标（A） A.ping扫描 B.操作系统扫描 C.端口扫描 D.漏洞扫描 ping扫描：用于发现攻击目标 操作系统识别扫描：对目标主机运行的操作系统进行识别 端口扫描：用于查看攻击目标处于监听或运行状态的。。。。。。 5、路由器工作在（C） A.应用层 B.链接层 C.网络层 D.传输层 6、防火墙通过____控制来阻塞邮件附件中的病毒。（A） A.数据控制 B.连接控制 C.ACL控制 D.协议控制 7、与10.110.12.29 mask 255.255.255.224属于同一网段的主机IP地址是（B） A.10.110.12.0 B.10.110.12.30 C.10.110.12.31 D.10.110.12.32 8、查看路由器上所有保存在flash中的配置数据应在特权模式下输入命令：（A） A.show running-config B.show buffers C. show starup-config D.show memory 9、路由器命令“Router（config）#access-list 1 permit 192.168.1.1”的含义是：（B） A．不允许源地址为192.168.1.1的分组通过，如果分组不匹配，则结束 B．允许源地址为192.168.1.1的分组通过，如果分组不匹配，则结束 C．不允许目的地址为192.168.1.1的分组通过，如果分组不匹配，则结束 D．允许目的地址为192.168.1.1的分组通过，如果分组不匹配，则检查下一条语句。

网络安全防护检查报告

编号： 网络安全防护检查报告 数据中心 测评单位： 报告日期： 目录 第1章系统概况 (2) 1.1 网络结构 (2) 1.2 管理制度 (2) 第2章评测方法和工具 (4) 2.1 测试方式 (4) 2.2 测试工具 (4) 2.3 评分方法 (4) 2.3.1 符合性评测评分方法 (5) 2.3.2 风险评估评分方法 (5) 第3章测试内容 (7) 3.1 测试内容概述 (7) 3.2 扫描和渗透测试接入点 (8) 3.3 通信网络安全管理审核 (8) 第4章符合性评测结果 (9) 4.1 业务安全 (9) 4.2 网络安全 (9)

4.3 主机安全 (9) 4.4 中间件安全 (10) 4.5 安全域边界安全 (10) 4.6 集中运维安全管控系统安全 (10) 4.7 灾难备份及恢复 (11) 4.8 管理安全 (11) 4.9 第三方服务安全 (12) 第5章风险评估结果 (13) 5.1 存在的安全隐患 (13) 第6章综合评分 (14) 6.1 符合性得分 (14) 6.2 风险评估 (14) 6.3 综合得分 (14) 附录A 设备扫描记录 (15)

所依据的标准和规范有： ?《YD/T 2584-2013 互联网数据中心IDC安全防护要求》 ?《YD/T 2585-2013 互联网数据中心IDC安全防护检测要求》?《YD/T 2669-2013 第三方安全服务能力评定准则》 ?《网络和系统安全防护检查评分方法》 ?《2014年度通信网络安全防护符合性评测表－互联网数据中心IDC》 还参考标准 ?YD/T 1754-2008《电信和互联网物理环境安全等级保护要求》?YD/T 1755-2008《电信和互联网物理环境安全等级保护检测要求》 ?YD/T 1756-2008《电信和互联网管理安全等级保护要求》 ?GB/T 20274 信息系统安全保障评估框架 ?GB/T 20984-2007 《信息安全风险评估规范》

如何做网络安全等级保护

一、网络安全等级保护制度是什么 网络安全等级保护制度不是新事物, 是计算机信息系统安全等级保护制度的升级版。1994年颁布的《中华人民共和国计算机信息系统安全保护条例》最早明确了对计算机信息系统实行安全等级保护, 由公安机关作为主管部门负责监管实施。此后, 公安部同其他相关部门逐步完善了等级保护制度和管理的具体内容, 主导完善了《计算机信息系统安全保护等级划分准则》(GB-17859-1999)等一系列国家标准。随着社会的发展, 网络的外延不断扩展, 出现了云计算、大数据、物联网、工业控制系统等形态, 计算机信息系统等级保护制度已经不能适应, 因此, 2017年6月1日颁布的《中华人民共和国网络安全法》确认并更新了等级保护制度的内容。并且随着网络安全法的发布，信息安全建设已经逐渐提升到国家安全战略的层面，后期哪个单位未落实等级保护制度，一旦出现问题将会受到主管部门的严厉处罚。 二、哪些单位需要做等级保护 《中华人民共和国网络安全法》强调在网络安全等级保护制度的基础上，对关键信息基础设施实行重点保护，明确关键信息基础设施的运营者负有更多的安全保护义务，并配以国家安全审查、重要数据强制本地存储等法律措施，确保关键信息基础设施的运行安全。那么哪些单位需要做等级保护呢？ （一）政府机关：各大部委、各省级政府机关、各地市级政府机关、各事业单位等； （二）金融行业：金融监管机构、各大银行、证券、保险公司等； （三）电信行业：各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等； （四）能源行业：电力公司、石油公司、烟草公司； （五）企业单位：大中型企业、央企、上市公司等； （六）其它有信息系统定级需求的行业与单位。

信息系统安全等级保护测评报告

报告编号：（ -16-1303-01）信息系统安全等级测评报告

说明： 一、每个备案信息系统单独出具测评报告。 二、测评报告编号为四组数据。各组含义和编码规则如下： 第一组为信息系统备案表编号，由2段16位数字组成，可以从公 +安机关颁发的信息系统备案证明（或备案回执）上获得。第1段即备案证明编号的前11位（前6位为受理备案公安机关代码，后5位为受理备案的公安机关给出的备案单位的顺序编号）；第2段即备案证明编号的后5位（系统编号）。 第二组为年份，由2位数字组成。例如09代表2009年。 第三组为测评机构代码，由四位数字组成。前两位为省级行政区划数字代码的前两位或行业主管部门编号：00为公安部，11为，12为，13为，14为，15为，21为，22为，23为，31为，32为，33为，34为，35为，36为，37为，41为，42为，43为，44为，45为，46为，50为，51为，52为，53为，54为，61为，62为，63为，64为，65为，66为兵团。90为国防科工局，91为电监会，92为教育部。后两位为公安机关或行业主管部门推荐的测评机构顺序号。 第四组为本年度信息系统测评次数，由两位构成。例如02表示该信息系统本年度测评2次。

信息系统等级测评基本信息表 注：单位代码由受理测评机构备案的公安机关给出。

声明 本报告是票务系统的安全等级测评报告。 本报告测评结论的有效性建立在被测评单位提供相关证据的真实性基础之上。 本报告中给出的测评结论仅对被测信息系统当时的安全状态有效。当测评工作完成后，由于信息系统发生变更而涉及到的系统构成组件（或子系统）都应重新进行等级测评，本报告不再适用。 本报告中给出的测评结论不能作为对信息系统部署的相关系统构成组件（或产品）的测评结论。 在任何情况下，若需引用本报告中的测评结果或结论都应保持其原有的意义，不得对相关容擅自进行增加、修改和伪造或掩盖事实。

网络安全等级保护管理制度模板

网络安全等级保护管理制度

目录 一．信息安全管理机构及人员职责设置制度 (4) 一、信息安全管理机构及职责 (4) 二、信息安全人员岗位及职责 (4) 三、机构之间的沟通与合作 (5) 二．信息安全岗位人员管理制度 (7) 三．计算机机房日常管理制度 (9) 一、机房区域访问规定 (9) 二、机房环境卫生规定 (9) 三、物品进出管理规定 (10) 四、机房空调管理规定 (10) 五、机房环境监控规定 (10) 四．办公环境安全管理制度 (12) 五．存储介质安全管理制度 (14) 一、介质的存放 (14) 二、介质的使用 (14) 三、介质的带出与维修 (15) 四、介质的报废或销毁 (15) 六．信息化资产安全管理制度 (16) 七．系统建设安全管理制度 (18) 一、系统定级及系统安全方案设计 (18) 二、安全产品采购和使用 (18) 三、自行软件开发 (18) 四、外包软件开发 (19) 五、工程实施 (20) 六、测试验收 (20) 七、系统交付 (20) 八、安全服务商选择 (20) 八．网络安全管理制度 (22)

九．系统运维安全管理制度 (24) 十．计算机和服务器防病毒管理制度 (27) 十一. 安全保密和密码管理制度 (28) 十二. 备份和恢复管理制度 (29) 十三. 安全事件分类及处理流程 (30) 十四. 信息安全应急预案管理制度 (32) 十五. 信息安全知识培训管理制度 (33)

一．信息安全管理机构及人员职责设置制度 一、信息安全管理机构及职责 （该单位）信息安全管理工作由局信息安全工作领导小组负责，领导小组下设办公室，设在规划科技处，规划科技处负责有关信息安全工作的组织协调，技术中心承担具体工作。 (一)领导小组职责 在局党组领导下，负责审议信息安全工作相关政策法规宣传教育及有关技术方面培训计划；审议信息安全的标准规范、规章制度等；审议信息化建设方案中关于信息安全相关内容；审议或决定信息安全重大项目建设、实施、应用、维护和管理中的重大问题；督促、指导局机关有关处室、直属事业单位按职责分工做好信息安全作。 (二)领导小组办公室职责 贯彻落实局信息安全工作领导小组的决策；研究制定信息安全各项政策、技术标准和管理制度；研究提出信息安全建设、应用、维护、管理中重大问题的解决方案和意见；研究提出信息安全重大项目建设、实施总体方案和年度维护方案建议；承办领导小组交办的具体工作。 二、信息安全人员岗位及职责 （该单位）根据信息化建设及维护工作实际，设置系统管理员、网络管理员、安全管理员、机房管理员等岗位，安全管理员不能兼任网络管理员、系统管理员、机房管理员等，关键岗位应配备多人共同管理，

2020年网络安全自查工作情况报告

网络安全自查工作情况报告 一、组织机构建设情况 为妥善地完成网络安全工作，消除网络安全隐患，我局成立了以分管副局长为组长的网络安全工作领导小组，其中办公室、网监科的科长为副组长，各科室负责人为小组成员，以加强对网络安全工作的领导。严格按照上级部门要求，积极完善各项安全制度，保证了网络安全持续稳定运行。 二、基本情况 为保证网络安全工作顺利开展，我局先后投入资金30余万元，购置绿盟数据库审计系统2套、盈高入网准入控制1套。办公电脑均安装了360三件套（卫士、杀毒、浏览器），采取了360企业版安全防护模式，机房配备了入侵检测系统1台、上网行为管理1台、千兆防火墙2台。同时在每个基层单位确定一名信息联络员，具体负责基层单位日常网络安全维护。我局目前是通过乐清市政府电子政务网访问互联网，我局的外网网站在市政府电子政务网的防火墙保护下。 三、网络安全制度建设情况 我局制定了网络安全工作的各项信息管理制度制度。包括人员管理、机房管理、资产和设备管理、数据和信息安全管理、系统建设和运行维护管理等制度，涉及国家秘密、要害部门管理、计算机及信息系统管理、通信及办公自动化设备管理、网络安全监督检查、政府信息公开网络安全审查、涉密事件报告查处、责任考核与奖惩等基本

制度均在上述管理制度中有涉及到。同时，我局加强网络安全教育、宣传，使有关人员了解网络安全的危害，设立责任意识。 四、信息安全产品采购、使用情况。 我局的信息安全产品都采购国产厂商的产品，未采用国外信息安全产品。信息系统和重要数据的均自行维护，信息安全产品售后服务由厂家提供服务。 五、信息系统等级测评和安全建设整改情况。 20xx年10月oa系统通过等保2级，该信息系统未变化，所以无需作备案变更；目前暂无新建信息系统需要定级备案。 六、存在不足 一、重要的网站还未开展信息系统定级备案、等级测评。还缺乏网站的防篡改等技术防护设备。 二、安全防范意识还有薄弱，信息安全制度的落实工作还不扎实。 七、整改方向 一、加快开展重要网站的等级保护备案、测评和整改建设工作。要按照信息安全等级保护管理规范和技术标准，进一步建立信息安全等级保护管理机制，制定并落实信息安全管理制度。根据测评中反映出的安全问题，确定系统安全需求，落实整改措施，以尽快达到等级要求的安全保护能力和水平。 二、要切实增强信息安全制度的落实工作，不定期的对安全制度执行情况进行检查，从而提高人员安全防护意识。

网络安全等级保护(安全通用要求)建设方案

网络安全等级保护建设方案 （安全通用要求） 北京启明星辰信息安全技术有限公司 Beijing Venustech Information Security Technology Co., Ltd. 二零一九年五月

目录 1.项目概述 (4) 1.1.项目概述 (4) 1.2.项目建设背景 (4) 1.2.1.法律依据 (4) 1.2.2.政策依据 (5) 1.3.项目建设目标及内容 (6) 1.3.1.建设目标 (6) 1.3.2.建设内容 (7) 1.4.等级保护对象分析与介绍 (8) 2.方案设计说明 (8) 2.1.设计依据 (8) 2.2.设计原则 (9) 2.2.1.分区分域防护原则 (9) 2.2.2.均衡性保护原则 (9) 2.2.3.技管并重原则 (9) 2.2.4.动态调整原则 (9) 2.2.5.三同步原则 (10) 2.3.设计思路 (10) 2.4.设计框架 (12) 3.安全现状及需求分析 (12) 3.1.安全现状概述 (12) 3.2.安全需求分析 (13) 3.2.1.物理环境安全需求 (13) 3.2.2.通信网络安全需求 (14) 3.2.3.区域边界安全需求 (15) 3.2.4.计算环境安全需求 (17)

3.2.5.安全管理中心安全需求 (18) 3.2.6.安全管理制度需求 (18) 3.2.7.安全管理机构需求 (19) 3.2.8.安全管理人员需求 (19) 3.2.9.安全建设管理需求 (20) 3.2.10.安全运维管理需求 (21) 3.3.合规差距分析 (22) 4.技术体系设计方案 (22) 4.1.技术体系设计目标 (22) 4.2.技术体系设计框架 (23) 4.3.安全技术防护体系设计 (23) 4.3.1.安全计算环境防护设计 (23) 4.3.2.安全区域边界防护设计 (28) 4.3.3.安全通信网络防护设计 (31) 4.3.4.安全管理中心设计 (34) 5.管理体系设计方案 (35) 5.1.管理体系设计目标 (35) 5.2.管理体系设计框架 (35) 5.3.安全管理防护体系设计 (35) 5.3.1.安全管理制度设计 (36) 5.3.2.安全管理机构设计 (36) 5.3.3.安全管理人员设计 (37) 5.3.4.安全建设管理设计 (38) 5.3.5.安全运维管理设计 (39) 6.产品选型与投资概算 (47) 7.部署示意及合规性分析 (48) 7.1.部署示意及描述 (48) 7.2.合规性分析 (48)

网络安全等级保护工作流程【最新版】

网络安全等级保护工作流程 2017年6月1日《网络安全法》正式实施，网络安全等级保护进入有法可依的2.0时代，网路安全等级保护系列标准于2019年5月陆续发布，12月1日起正式实施，标志着等级保护正式迈入2.0时代。 网络安全等级保护2.0时代，落实等级保护制度的五个规定基本动作仍然是：定级、备案、建设整改、等级测评、监督检查。 本文全面介绍网络安全等级保护工作流程。 网络安全等级保护基本概述 网络安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的网络资源及功能组件分等级实行安全保护，对网络中使用的安全技术和管理制度实行按等级管理，对网络中发生的信息安全事件分等级响应、处置。 为开展网络安全等级保护工作，国家制定了一系列等级保护相关标准，其中主要的标准有：

计算机信息系统安全保护等级划分准则(GB 17859-1999) 信息安全技术网络安全等级保护定级指南(GB/T22240-2020) 信息安全技术网络安全等级保护实施指南(GB/T25058-2019) 信息安全技术网络安全等级保护基本要求(GB/T22239-2019) 信息安全技术网络安全等级保护设计技术要求(GB/T25070-2019) 信息安全技术网络安全等级保护测评要求(GB/T28448-2019) 信息安全技术网络安全等级保护测评过程指南(GB/T28449-2018) 开展网络安全等级保护工作的原因 开展网络安全等级保护的原因大致可以概括为下列三点： 合规要求：落实网络安全等级保护制度，满足国家法律法规要求。

网络安全法第二十一条规定国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。 网络安全法第三十一条规定国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。 网络安全等级保护基本对各行业进行全覆盖，主要行业有：政府机关、金融行业、卫生医疗、教育行业、运营商、能源电力、企业单位及其他行业等。 安全需求：基于等级保护构建安全防护体系，推动安全保障建设，合理规避风险。 网络安全等级保护是信息系统安全领域实施的基本国策，是是国家信息安全保障工作的基本制度、基本方法。 网络运营者依据国家网络安全等级保护政策和标准，开展组织管

信息安全等级保护初级测评师模拟试题

信息安全等级测评师模拟考试 考试形式：闭卷考试时间：120分钟 一、单选题（每题1.5分，共30分） 1.以下关于等级保护的地位和作用的说法中不正确的是（C ） A.是国家信息安全保障工作的基本制度、基本国策。 B.是开展信息安全工作的基本方法。 C.是提高国家综合竞争力的主要手段。 D.是促进信息化、维护国家信息安全的根本保障。 2. 以下关于信息系统安全建设整改工作工作方法说法中不正确的是：（A ） A.突出重要系统，涉及所有等级, 试点示范，行业推广，国家强制执行。 B.利用信息安全等级保护综合工作平台使等级保护工作常态化。 C.管理制度建设和技术措施建设同步或分步实施。 D.加固改造缺什么补什么也可以进行总体安全建设整改规划。 3.以下关于定级工作说法不正确的是：（A ） A.确定定级对象过程中，定级对象是指以下内容：起支撑、传输作用的信息网络（包括专网、内网、外网、网管系统）以及用于生产、调度、管理、指挥、作业、控制、办公等目的的各类业务系统。 B.确定信息系统安全保护等级仅仅是指确定信息系统属于五个等级中的哪一个。 C.在定级工作中同类信息系统的安全保护等级不能随着部、省、市行政级别的降低而降低。 D.新建系统在规划设计阶段应确定等级，按照信息系统等级，同步规划、同步设计、同步实施安全保护技术措施和管理措施。 4. 安全建设整改的目的是（D ） （1）探索信息安全工作的整体思路；（2）确定信息系统保护的基线要求；（3）了解信息系统的问题和差距；（4）明确信息系统安全建设的目标；（5）提升信息系统的安全保护能力； A.（1）、（2）、（3）、（5） B.（3）、（4）、（5） C.（2）、（3）、（4）、（5） D.全部

信息安全等级保护测评机构评优标准(试行)

附件2： 信息安全等级保护测评机构评优标准 （试行） 一、编制目的 本标准的编制目的是通过统一的评价标准，以打分评价的方式选出工作表现和能力优秀的测评机构，从而鼓励先进、指引测评机构的发展方向。 二、指标设定 对测评机构的评价指标共设为8项：系统测评数量、测评师数量、工具配备、测评技术能力、业务经营能力、测评管理规范化、省级等保办对机构工作评价、国家等保办对机构工作评价。 三、各项指标打分标准 指标项前七项满分100分，其中系统测评数量20分、测评师数量10分、工具配备10分、测评技术能力30分、业务经营能力10分、测评管理规范化10分、省级等保办对机构工作评价10分，国家等保办对机构工作评价作为加分项，满分10分。 各项指标的打分标准如下： （1）系统测评数量打分标准 根据测评系统数量计分，每个二级系统计0.05分，每个三级系统计0.2分，每个四级系统计0.3分，满分20分。 测评系统数量依据测评机构当年度1月1日至12月31

日期间所完成的第二级以上信息系统测评数量，以测评报告计数，以每个测评报告首页复印件作为证据 （2）测评师数量打分标准 A.测评师人数10-15人，中、高级人员少于4人，得 1分。 B.测评师人数10-15人且中、高级人员不少于4人， 得3分。 C.测评师人数16-20人且中、高级人员不少于5人， 得5分。 D.测评师人数21-25人且中、高级人员不少于7人， 得6分。 E.测评师人数26-30人且中高、级人员不少于9人， 得7分。 F.测评师人数31-35人且中高、级人员不少于11人， 得8分。 G.测评师人数36-40人且中高、级人员不少于13人， 得9分。 H.测评师人数40人以上且中高、级人员不少于15人， 得10分。 备注：根据测评师证书和社保证明等材料为证据，若机构不同时满足高一级别两个要求，得低一级别分值。 （3）工具配备打分标准 A.机构具备安全问题发现类工具： 漏洞扫描工具（网络和主机）—1分

人民医院信息系统网络安全等级保护整改报告.doc

人民医院信息系统网络安全等级保护整 改报告 人民医院信息系统网络安全等级保护整改报告 商城县公安局网监大队： 我院在接到贵单位发来的《信息系统安全等保限期整改通知书》后，院领导高度重视，责成信息科按照要求进行整改，现在整改情况报告如下。 一、我院网络安全等级保护工作概况 根据上级主管部门和行业主管部门要求，我院高度重视并开展了网络安全等级保护相关工作，工作内容主要包含信息系统梳理、定级、备案、等级保护测评、安全建设整改等。我院目前运行的主要信息系统有：综合业务信息系统。综合业务信息系统是商城县人民医院核心医疗业务信息系统的集合，系统功能模块主要包括医院信息系统(his)、检验信息系统(lis)、电子病历系统(emrs)、医学影像信息系统(pacs)，其中医院信息系统(his)、检验信息系统(lis)、电子病历系统(emrs)由福建弘扬软件股份有限公司开发建设并提供技术支持，医学影像信息系统(pacs)由深圳中航信息科技产业股份有限公司开发建设并提供技术支持。 我院已于2018年11月完成了综合业务信息系统的定级、备案、等级保护测评、专家评审等工作，系统安全保护等级为第二级（s2a2g2），等级保护测评机构为河南天祺信息安全技术有限公司，等级保护测评结论为基

本符合，综合得分为76.02分。在测评过程中，信息科已根据测评人员建议对能够立即整改的安全问题进行了整改，如：服务器安全加固、访问控制策略调整、安装防病毒软件、增加安全产品等。目前我院正在进行门户网站的网络安全等级保护测评工作。 二、安全问题整改情况 此次整改报告中涉及到的信息系统安全问题是我院于2018年11月委托河南天祺公司对医院信息系统进行测评反馈的内容，主要包括应用服务器、数据库服务器操作系统漏洞和oracle漏洞等。针对应用服务器系统漏洞，我院及时与安全公司进行沟通，沟通后通过关闭部分系统服务和端口，更新必要的系统升级包等措施进行了及时的处理。针对oracle数据库存在的安全漏洞问题，我们与安全公司和软件厂商进行了沟通，我院his 系统于2012年底投入使用，数据库版本为oracle 11g，投入运行时间较早，且部署于内网环境中未及时进行漏洞修复。 经过软件开发厂商测试发现修复oracle数据库漏洞会影响his系统正常运行，并存在未知风险，为了既保证信息系统安全稳定运行又降低信息系统面临的安全隐患，我们主要采取控制数据库访问权限，切断与服务器不必要的连接、限制数据库管理人员权限等措施来降低数据库安全漏洞造成的风险。具体措施为：第一由不同技术人员分别掌握数据库服务器和数据库的管理权限；第二数据库服务器仅允许有业务需求的应用服务器连接，日常管理数据库采用本地管理方式，数据库不对外提供远程访问；第三对数据库进行了安全加固，设置了强密码、开启了日志审计功能、禁用了数据库默认用户等。

信息安全等级保护测评及服务技术参数

信息安全等级保护测评及服务技术参数 一、资质要求 1.投标人必须是全国等级保护测评机构推荐目录中的推荐机构。非本地机构参与投标时，必须提供湖北省公安厅认定的《等级测评机构异地测评项目备案表》。 2.投标人至少有1名高级测评师，委派参与工程实施的测评人员必须具有公安部颁发的测评资格证（投标时须提供相关的证明材料）。 3.投标方使用的技术装备、设施须符合《信息安全等级保护管理办法》中对信息安全产品的要求。 4.投标人必须拥有ISCCC信息安全服务资质或其他信息安全服务资质（投标时须提供相关的证明材料）。 二、测评系统目录 投标方须按照国家有关技术规范要求，完成表1和表2所列信息系统的等级保护测评及技术服务工作。其中表1所列的三级系统，需要在2016年11月20日之前完成所有的测评，并配合校方完成整改、复测评和备案工作。 表1 三级系统目录 表2 二级系统目录 特别说明：招标方可以根据学校实际情况，对表2中所列系统名称、安全保护等级级别做适当调整。

三、项目任务 投标人在本项目中，须完成以下工作： 1.协助完成定级备案的相关工作 协助完成测评范围所列信息系统的定级备案工作。按照信息安全等级保护要求，提供定级、备案相关的信息安全技术服务，协助校方完成等级保护定级及备案阶段的相关工作，包括但不限于：撰写备案材料和定级相关报告、协助组织定级评审、办理备案相关手续等。 2. 完成测评范围中所有信息系统的测评工作 依据《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》、《GB/T 20984-2007 信息安全技术信息安全风险评估规范》、《GB/T 22080-2008 信息技术安全技术信息安全管理体系要求》、《GB/T 22081-2008 信息技术安全技术信息安全管理实用规则》等标准的要求，完成表1和表2所列信息系统的现场测评工作。 测评内容应包括但不限于以下内容： （1）安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评； （2）安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评； （3）系统整体测评：控制间测评、层面间测评、区域间测评、系统结构安全测评。 3．完成测评服务相关文档 出具的测评服务记录或报告文档包括：测评记录、系统风险评估报告、系统整改加固建议、信息系统等级保护测评报告等。 4．完成安全隐患整改指导与复测评工作 提供安全隐患整改指导与安全加固服务，并协助建立和完善相关制度。 在校方完成相应的整改工作后，对整改项进行复测评，出具复测报告，确保信息系统备案工作的完成。 5．为学校相关人员提供与测评工作相关的培训服务。 6. 完成其他相关的工作。 四、其他要求 1.投标人须在投标之前做充分的现场调研工作，对拟测评的信息系统现状有足够的了

年网络安全检查总结报告

X X X X公司2017年网络安全检查总结报告 根据XXX公司转发《关于印发<2018年全区关键信息基础设施网络安全检查工作方案>的通知》（桂网办发〔2018〕14号）文件精神，XX公司成立了网络信息安全工作领导小组，在分管领导XXXX的领导下，制定了计划，明确责任，具体落实，对公司各系统网络与信息安全进行了一次全面的调查。发现问题，分析问题，解决问题，确保了网络能更好地保持良好运行。 一、高度重视，加强领导。 为进一步加强网络信息系统安全管理工作，XX公司成立了网络安全工作领导小组，做到分工明确，责任具体到人。网络安全工作小组组长为XXX，副组长为XXXX，成员为XXX、XXX、XXX、XXX、XXX。 二、2017年网络安全主要工作情况 （一）网络（网站）安全管理 公司办公室作为网站管理归口部门，配备专员进行日常运营管理，落实责任，明确到人，严格规范网站信息审核、编辑、发布等程序，较好地履行网站信息上传审签制度、信息系统数据保密与防篡改制度。日常维护操作规范，做到了杜绝弱口令并定期更新，严密防护个人电脑，定期备份数据，定期查看安全日志，随时掌握网络（网站）状态，保持正常运行。

（二）技术防护 公司建立一定规模的综合安全防护措施。一是网络出口及个人电脑均部署应用防火墙，并定期更新检测，确保技术更新；二是对网络设备定期进行安全漏洞检查，及时更新操作系统和补丁，配置口令策略；三是对重要系统和数据进行定期备份。 （三）应急管理 公司办公室为应急技术支持部门，确保网络安全事件的快速有效处置。 三、存在问题 （一）企业官网还未开展信息系统定级备案、等级测试，缺乏网站的防篡改等技术防护设备； （二）网络安全员为兼职，管理力度难以得到保障； （三）公司还未针对网络信息安全制定相关制度和管理办法，部分员工防范意识较为薄弱，网络安全工作执行力度不够。 四、整改方向 （一）加快开展企业官网的等级保护备案、测评和整改工作。要按照网络安全等级保护管理规范和技术标准，进一步建立网络安全等级保护管理机制，制定并落实网络安全管理制度。根据测评反映出的安全问题，确定系统安全需求，落实整改措施，以尽快达到等级要求的安全保护能力和水平。 （二）要进一步完善网络安全管理制度，规范网络（网

网络安全等级保护测评机构管理办法

网络安全等级保护测评机构管理办法 第一章总则 第一条为加强网络安全等级保护测评机构（以下简称“测评机构”）管理，规范测评行为，提高等级测评能力和服务水平，根据《中华人民共和国网络安全法》和网络安全等级保护制度要求，制定本办法。 第二条等级测评工作，是指测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对已定级备案的非涉及国家秘密的网络（含信息系统、数据资源等）的安全保护状况进行检测评估的活动。 测评机构，是指依据国家网络安全等级保护制度规定，符合本办法规定的基本条件，经省级以上网络安全等级保护工作领导（协调）小组办公室（以下简称“等保办”）审核推荐，从事等级测评工作的机构。 第三条测评机构实行推荐目录管理。测评机构由省级以上等保办根据本办法规定，按照统筹规划、合理布局的原则，择优推荐。 第四条测评机构联合成立测评联盟。测评联盟按照章程和有关测评规范，加强行业自律，提高测评技术能力和服务质量。测评联盟在国家等保办指导下开展工作。 第五条测评机构应按照国家有关网络安全法律法规规

定和标准规范要求，为用户提供科学、安全、客观、公正的等级测评服务。 第二章测评机构申请 第六条申请成为测评机构的单位（以下简称“申请单位”）需向省级以上等保办提出申请。 国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请，对申请单位进行审核、推荐；监督管理全国测评机构。 省级等保办负责受理本省（区、直辖市）申请单位的申请，对申请单位进行审核、推荐；监督管理其推荐的测评机构。 第七条申请单位应具备以下基本条件： （一）在中华人民共和国境内注册成立，由中国公民、法人投资或者国家投资的企事业单位; （二）产权关系明晰，注册资金500万元以上，独立经营核算，无违法违规记录； （三）从事网络安全服务两年以上，具备一定的网络安全检测评估能力； （四）法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民，且无犯罪记录；

网络安全等级保护2.0—北京在信国通科技有限公司

等级保护2.0－北京在信国通科技有限公司 Q1：什么是等级保护？ 答：等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。 Q2：什么是等级保护2.0？ 答：“等级保护2.0”或“等保2.0”是一个约定俗成的说法，指按新的等级保护标准规范开展工作的统称。通常认为是《中华人民共和国网络安全法》颁布实行后提出，以2019年12月1日，网络安全等级保护基本要求、测评要求和设计技术要求更新发布新版本为象征性标志。 Q3：“等保”与“分保”有什么区别？ 答：指等级保护与分级保护，主要不同在监管部门、适用对象、分类等级等方面。 监管部门不一样，等级保护由公安部门监管，分级保护由国家保密局监管。 适用对象不一样，等级保护适用非涉密系统，分级保护适用于涉及国家密秘系统。 等级分类不同，等级保护分5个级别：一级(自主保护)、二级(指导保护)、三级(监督保护)、四级(强制保护)、五级(专控保护)；分级保护分3个级别：秘密级、机密级、绝密级。 Q4：“等保”与“关保”有什么区别？ 答：指等级保护与关键信息基础设施保护，“关保”是在网络安全等级保护制度的基础上，实行重点保护。《中华人民共和国网络安全法》第三章第二节规定了关键信息基础设施的运行安全，包括关键信息基础设施的范围、保护的主要内容等。 目前《信息安全技术关键信息基础设施网络安全保护基本要求》正在报批中，相关试点工作已启动。 Q5：什么是等级保护测评？ 答：指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密网络安全等级保护状况进行检测评估的活动。 Q6：等级保护是否是强制性的,可以不做吗？ 答：《中华人民共和国网络安全法》第二十一条规定网络运营者应当按照网络安全等级保护